Praktiske erfaringer med bruk av SSA-L Senioradvokat Stian Oddbjørnsen i samarbeid med Difi
Tema for innlegget Overordnet innføring i avtalen Erfaringer - basert på bruk i praksis og tilbakemeldinger på Difis høringsrunde Kort om veien videre
Overordnet om avtalen
Hvorfor SSA-L? SSA-porteføljen revideres stadig for å holde tritt med markedsutviklingen - Siste versjoner fra 2015 Økningen av leveranser gjennom «skytjenester» har vært en tydelig utvikling i markedet Ingen av avtalene i SSA-porteføljen passet direkte (alene) for denne type leveransemodeller Meldt om stort behov for standardreguleringer på dette området
Hvordan? Difi med bistand fra Kluge Advokatfirma utarbeidet i vinteren 16/17 en generell avtaletekst og bilag med veiledning Bestilling: enkel avtale for tjenesteleveranser over internett Bygget over samme lest som resten av SSA-porteføljen Publisert januar 2017 Avtalen har vært «ute på prøve» Difi opptatt av tilbakemeldinger Hittil: Få, men gode tilbakemeldinger! Foreløpig kun i norsk versjon Revidering høsten 2017 basert på tilbakemeldinger 6
Hva? Regulerer løpende tjenesteytelser levert gjennom programvare over internett: - Tilfeller der kunden ikke kjøper programvaren og installerer den selv, men hvor kunden «leier» programvaren og får tilgang til funksjonaliteten som ligger i programvaren (tjenesten) via internett - Avtalen omfatter også drift og vedlikehold av programvaren/tjenesten «Nedstrippet» sammenliknet med øvrige avtaler i SSA-porteføljen som tidligere ble brukt på også denne type leveranser SSA-K, SSA-T, SSA-D og SSA-V - Særskilt hva gjelder etableringsfasen (prosjekt, test og godkjenning mv.) 7
Hva reguleres? Alminnelige bestemmelser Omfang, rangordning, endringer Gjennomføring av tjenesten Etablering og levering, dokumentasjon, tjenestenivå, vedlikehold, forholdet til standard lisens- og avtalevilkår, varighet, oppsigelse, avslutning og overføring mv. Vederlag og betalingsbetingelser Sikkerhet og personvern/plikter knyttet til overføring av data/rekonstruksjon av data Eiendom- og disposisjonsrett Mislighold/sanksjoner Tvister 8
Hvilke bilag? 9
Tidslinjen Etableringsfase Få reguleringer i den generelle teksten (overlates til bilag 3) Leveringsdag Skriftlig melding fra leverandøren med eller uten (detaljert) godkjenningsprøve Drift- og vedlikeholdsfase Varighet 3 år med automatiske fornyelser 10
Statistikk 11
Utvalgte emner og praktiske erfaringer/tilbakemeldinger
Overordnet om tilbakemeldinger Generelt godt tatt i mot treffer et behov Men: flere gode innspill på enkeltbestemmelser og retting av feil
Anvendelsesområde Kjerneområdet: Tjenesteleveranser (funksjonalitet) gjennom programvare der leverandøren eier, drifter og vedlikeholder programvaren selv Og: Der leverandøren tar totalansvar for alle sider av leveransens funksjonalitet uavhengig av eierskap og driftsmodell Avtalen er dynamisk ettersom mye overlates til spesifisering i bilagene - Erfaring: godt egnet som utgangspunkt for også andre typer standardiserte tjenesteytelse (med litt bearbeiding)
Anvendelsesområde: sammensatte tjenester med tredjepartsinvolvering? Sammensatte tjenester: - Tjenesten inneholder for eksempel både leverandørens egen programvare, men også tredjeparters programvare - Eller leverandøren er en «integrator» for andres programvare som pakkes sammen for å levere ønsket funksjonalitet Avtalen kan fortsatt benyttes men viktig å være klar over hvilket ansvar leverandøren da har etter avtalen - SSA-L regulerer forholdet til tredjeparters lisensbetingelser i punkt 2.1.2 Programvare C Programvare A Programvare B Programvare D 15
Lett (!) I den utstrekning standardprogramvare som er omfattet av tjenesten må leveres under standard lisensbetingelser og avtalevilkår (lisensbetingelser), skal dette være uttrykkelig angitt i et eget kapittel i bilag 2, og kopier av lisensbetingelsene skal være vedlagt som bilag 9. Lisensbetingelsenes bestemmelser om disposisjonsrett går foran denne avtalens betingelser om disposisjonsrett, med mindre annet eksplisitt fremgår av bilag 7. Leverandøren skal sikre at standardprogramvare tilbys under lisensbetingelser som er dekkende for de krav som Kunden i bilag 1 har stilt til tjenesten og dennes bruksområde, og denne avtalens bestemmelser om disposisjonsrett. I den utstrekning det er avvik mellom lisensbetingelsenes bestemmelser om disposisjonsrett og denne avtalens bestemmelser om disposisjonsrett, skal Leverandøren beskrive dette tydelig i bilag 2. Ved eventuelle rettsmangler er Leverandøren ikke erstatningsansvarlig for rettsmangler knyttet til standardprogramvare ut over 1) det som følger av lisensbetingelsene inntatt i bilag 9, og 2) for dekning av idømt erstatningsansvar overfor tredjepart (rettighetshaveren(e)). Tjenesten skal testes og godkjennes i henhold til denne avtalens bestemmelser om test og godkjenning (se punkt 2.2.2) uavhengig av hva som følger av programvarens lisensbetingelser. Leverandøren har ansvar for at Leverandørens ytelser oppfyller avtalte krav og beskrivelser i avtalen, uavhengig av hva som måtte følge av de enkelte lisensbetingelsene. Hvis feil i standardprogramvaren medfører at tjenesten avviker fra det som er avtalt i henhold til denne avtalen, herunder avtalte tjenestekrav, er det Leverandørens ansvar å avhjelpe feilen på en slik måte at tjenesten bringes i overensstemmelse med det som er avtalt, selv om slik standardprogramvare er underlagt lisensbetingelser med avvikende betingelser for feilretting. Avhjelp av feil i, eller feil som skyldes, standardprogramvare kan skje på enhver måte som bringer tjenesten i overensstemmelse med avtalens krav. Hvis Leverandøren dokumenterer at avvikene i tjenesten som nevnt i avsnittet over skyldes at standardprogramvare ikke opptrer i samsvar med programvareprodusentens spesifikasjoner, og at feilen krever tilgang til standardprogramvarens kildekode for å kunne rettes, er Leverandørens feilrettingsplikter begrenset til å melde feilen til programvareprodusenten, etter beste evne søke å få prioritet for retting av feilen, holde Kunden orientert om status for feilrettingen og gjøre rettet versjon tilgjengelig for Kunden når feilen i standardprogramvaren er rettet av programvareprodusenten. Slike feil i standardprogramvaren som nevnt i nest siste avsnitt regnes ikke med ved vurderingen av om godkjenningskriterier er oppfylt eller om tjenesten oppfyller tjenestenivået i bilag 4, med mindre Leverandøren har misligholdt sin plikt til å følge opp feilrettingen og gjøre feilrettingen tilgjengelig for Kunden. 16
Anvendelsesområde: sammensatte ytelser med tredjepartsinvolvering Leverandøren er som utgangspunkt ansvarlig for hele leveransen, herunder for sine underleverandører Unntak: - Lisensbetingelsene vedrørende disposisjonsrett går foran avtalens bestemmelser - Ved eventuelle rettsmangler er leverandøren ikke erstatningsansvarlig for rettsmangler knyttet til standardprogramvare ut over det som følger av lisensbetingelsene - Leverandøren er ikke ansvarlig for dekning av idømt erstatningsansvar overfor tredjepart (rettighetshaveren(e)) ut over det som følger av lisensbetingelsene - Feilretting: dersom avvik i tjenesten skyldes feil i standardprogramvaren som ikke kan rettes uten tilgang til kildekoden, er leverandørens ansvar begrenset til å melde feilen til programvareprodusenten
Anvendelsesområde: sammensatte ytelser med tredjepartsinvolvering Leverandøren sitter i realiteten igjen med et betydelig restansvar for leveransen Punktet er bygget opp på samme måte som SSA-T punkt 5.1 - Må/bør det være slik? - Bør ikke leverandøren ta fullt ansvar for sin leveranse? Skal kunden ta risikoen for tredjeparter som leverandøren velger? Blir tjenestene priset for høyt med et slikt restansvar? Risikerer kunden ikke å få tilbud med et slikt restansvar? Bestemmelsen sier ikke noe situasjonen der leverandørens applikasjonslag driftes på tredjeparts driftsplattform - I utgangspunktet har leverandøren dermed fullt ansvar for ytelsen også der mislighold skyldes tredjeparts driftsplattform - De samme hensyn som begrunner unntakene i punkt 2.1.2 kan imidlertid tilsi liknende reguleringer der det er tredjeparts driftsplattform som er årsak til mislighold? Et punkt som er egnet for tilbakemeldinger!
Integrasjoner og tilpasninger? Absolutt! Må spesifisere i bilag 1 og besvares i bilag 2 - Ikke regulert direkte, men ligger implisitt i avtaleteksten, f. eks. i punkt 2.1.6 - nye versjoner av tjenesten «Eventuelle tilpasninger som er gjort for Kunden i den versjonen som skal skiftes ut, skal Leverandøren implementere i den nye versjonen før den gjøres tilgjengelig for Kunden. Med mindre annet fremgår av bilag 6, utføres tilpasnings- og implementeringsarbeidet i henhold til Leverandørens timesatser for slikt arbeid i bilag 6.» Avtalen er med andre ord ikke begrenset til «hyllevare» 19
Avbestilling Avtalen har utgangsvarighet på 3 år i punkt 3.1, men 6 måneders avbestillingsrett i punkt 3.2, der det kun skal betales: - det beløp som Leverandøren har til gode for den del av tjenesten som allerede er gjennomført - andre dokumenterte direkte kostnader som Leverandørens påføres som følge av avbestillingen, herunder utlegg og kostnader som Leverandøren har pådratt seg før avbestillingen ble mottatt, og som Leverandøren ikke kan nyttiggjøre seg i andre sammenhenger Utfordrer prismodellen for leverandørene, som gjerne legger til grunn (minst) tre års løpetid Leverandører har spilt inn at det bør vurderes å innføre tilleggsgebyr for avbestilling 20
Annet Oppdatering av bestemmelser knyttet til personopplysninger? Innta databehandleravtale som bilag? Eget bilag om integrasjoner? Innta bestemmelser om universell utforming av IKT i avtalen? Er dagboten for forsinkelse for høy? Innta rapporteringskrav for oppetid mv.? Er det unødvendig med skriftlig varsling før oppgradering til ny versjon av programvaren? Bør i det hele tatt henvisningen til ulike versjoner tas ut? Er potensielt erstatningsansvar satt for høyt? 21
Veien videre 22
Videre arbeid med avtalen Fortsatt åpent for tilbakemeldinger: - mari.benkow@difi.no Referansegruppe vil gå gjennom tilbakemeldinger i løpet av høsten 2017 Ny versjon vil deretter utarbeides og publiseres i løpet av vinteren 2017/2018 23
Takk for oppmerksomheten! Stian Oddbjørnsen stian.oddbjornsen@kluge.no